Sérülékenységet találtak a Mozilla Firefox böngészőben: Frissítse a böngészőjét minél hamarabb
A Mozilla egy jelentős biztonsági hibát fedezett fel a Firefox és a Firefox Extended Support (ESR) verzióiban, amelyet feltételezhetően már éles kibertámadásban is kihasználtak.
A sebezhetőség azonosítója CVE-2024-9680 (CVSS pontszám: 9.8), és az „Animation timeline” modulban található.
A Mozilla közleménye szerint „egy támadónak sikerült tetszőleges kódot futtatnia az Animation timeline komponensben, egy úgynevezett use-after-free hiba révén” – publikálta a Mozilla a böngésző memóriakezelésével kapcsolatos hibát. A biztonsági rést az ESET szlovák cég egyik munkatársa, Damien Schaeffer találta meg és jelentette.
A sebezhetőség javítása az alábbi verziókban jelent meg:
- Firefox 131.0.2,
- Firefox ESR 128.3.1,
- Firefox ESR 115.16.1.
Jelenleg nincs további információ arról, hogy pontosan hogyan használják ki ezt a hibát a gyakorlatban, illetve kik állhatnak a támadások mögött. A felhasználóknak erősen ajánlott a böngésző mielőbbi frissítése, hogy védve legyenek az esetleges kibertámadásoktól.
Frissítés
A Tor Project sürgősségi frissítést adott ki a Tor böngészőhöz (13.5.7-es verzió), hogy javítsa a CVE-2024-9680 sérülékenységet, amelyet már aktívan kihasználnak.
„Ezt a sebezhetőséget kihasználva a támadó átveheti az irányítást a Tor böngésző felett, azonban valószínűleg nem képes az anonimitás megszüntetésére a Tails rendszerben” – olvasható a közleményben. „A Mozilla tudomására jutott, hogy ezt a támadást a vadonban a Tor böngészőt használó felhasználók ellen alkalmazták.”
A Mozilla egy külön bejegyzésben, 2024. október 11-én, közölte, hogy az ESET küldött számukra egy mintát, amely tartalmazott egy „teljes exploit láncot, ami lehetővé tette a távoli kódfuttatást a felhasználó számítógépén.” Azt is felfedték, hogy a hibajavítás a felelős közzétételt követően 25 órán belül elkészült.
